lsass.exe のダンプからユーザーパスワードを抽出 :mimikatz
概要
TechEd North America 2014 (= Microsoft のカンファレンス) のセッションで紹介されていた、lsass.exe のダンプからユーザーパスワードを抽出する方法を紹介します。
内容
WinDbg のデバッガーエクステンションのmimikatz を使用すると、lsass.exe のプロセスダンプから、ユーザーパスワードの抽出が可能になります。
[mimikatz のダウンロード方法]
mimikatz は、こちらよりダウンロードできます。(バイナリだけでなく、ソースコードも公開されています。)
ダウンロードしたファイルを解凍した中にある、mimilib.dll がWinDbg のデバッガーエクステンションです。
| [注意] TechEd のセッションの中(43:18頃)で、ウイルス対策ソフトがmimikatz を検知する可能性があるが、使用可能である旨の発言が発表者よりありました。 |
[lsass.exe のダンプ作成方法]
1. タスクマネージャーを起動します。
2. “プロセス” のタブで”lsass.exe” を右クリックし、”ダンプ ファイルの作成” をクリックします。
3. ダンプが、C:\Users\<ユーザー名>\AppData\Local\Temp\lsass.DMP に作成された旨のダイアログが表示されます。
[mimikatz を利用した、パスワードの抽出方法]
1. WinDbg を起動します。
2. “File” → “Open Crash Dump” より、上記3で作成したダンプを開きます。
3. “.symfix c:\symbols”、”.reload” を実行し、シンボルをロードします。
4. “.load <mimilib.dll へのパス>” を実行し、mimikatz をロードします。
5. “!mimikatz” を実行します。
すると、パスワードが確認できます。
ここでは、”Demo” ユーザーのパスワードが”mypassword” であったことがわかります。
情報元
・TWC: Recalling Windows Memories: Useful Guide to Retrieving and Analyzing Memory Content